Guide de Légistique
Retour sommaire

 V. SCHEMAS LOGIQUES ET CAS PRATIQUES

5.2 Cas pratiques

5.2.9 Créer un traitement automatisé

Version du 20 octobre 2007

 

Un traitement automatisé de données s'entend de toute opération ou de tout ensemble d'opérations, réalisés par des moyens automatiques, qui portent sur des données : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, utilisation, diffusion, rapprochement, interconnexion, etc.

 

Si certains traitements automatisés de données ne sont pas susceptibles de porter atteinte à la liberté individuelle ou au respect de la vie privée (ainsi, par exemple, des traitements automatisés de données relatives à des personnes morales), il n'en est pas de même des traitements automatisés de données à caractère personnel, c'est-à-dire des traitements portant sur des informations permettant d'identifier, directement ou indirectement, une personne physique.

 

La création de traitements automatisés de données à caractère personnel est donc étroitement réglementée par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

 

Cette loi établissait initialement une distinction entre les traitements relevant du secteur public, qui devaient être autorisés par la loi ou par un acte réglementaire pris après avis de la Commission nationale de l'informatique et des libertés (CNIL), et les traitements opérés par le secteur privé, qui devaient faire l'objet d'une simple déclaration préalable auprès de la CNIL.

 

La loi du 6 janvier 1978, à l'exception de son article 1er qui pose le principe selon lequel l'informatique « ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques », a toutefois été profondément modifiée par la loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, afin notamment de procéder à la transposition de la directive 95/46/CE du 24 octobre 1995.

 

Il n'y a désormais plus lieu de distinguer entre les traitements du secteur public et ceux du secteur privé mais entre les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, qui sont soumis à une procédure d'autorisation préalable, et les autres.

 

La présente fiche vise à expliciter les règles de procédure, de forme et de fond qui régissent désormais la création, par une personne morale de droit public, de traitements automatisés de données à caractère personnel. Toutefois, elle n'aborde ni les traitements automatisés de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, régis par les dispositions des articles 53 à 61 de la loi du 6 janvier 1978 modifiée, ni les traitements automatisés de données à caractère personnel à des fins d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention, régis par les dispositions des articles 62 à 66 de la même loi. Elle se réfère à des décisions du Conseil constitutionnel, du Conseil d'État et de la CNIL qui restent d'actualité malgré l'évolution du droit applicable.

 

Principes généraux

 

La création de traitements automatisés de données à caractère personnel est soumise au respect des exigences et principes de valeur constitutionnelle. Leur méconnaissance est censurée par le Conseil constitutionnel, lorsque le traitement est créé par la loi, et par le Conseil d'État, lorsqu'il est créé par un acte réglementaire.

 

Au nombre de ces principes figure le respect de la vie privée, dont le Conseil constitutionnel juge qu'il est un corollaire du principe de liberté proclamé par l'article 2 de la Déclaration des droits de l'homme et du citoyen (voir notamment la décision n°2004-499 DC du 29 juillet 2004).

 

Le respect de la vie privée n'est toutefois pas un principe absolu. Il doit être concilié avec d'autres principes ou exigences constitutionnelles, notamment la sauvegarde de l'ordre public.

 

Il appartient donc au service qui crée un traitement automatisé de s'assurer que les éventuelles atteintes qui seront portées à la vie privée des personnes sont justifiées par la protection d'autres principes ou droits de valeur constitutionnelle.

 

Ainsi, l'atteinte portée à la vie privée par une base de données biométriques mise en œuvre par l'établissement public Aéroports de Paris afin de contrôler l'accès aux zones réservées de sûreté des aéroports d'Orly et de Roissy est justifiée par un impératif de sécurité (délibération de la CNIL n° 04-017 du 8 avril 2004). En revanche, l'instauration de la même base de données biométriques dans un collège, aux seules fins de contrôler l'accès à la cantine scolaire, ou dans une préfecture, aux fins de faciliter la gestion du temps de travail des agents, ne peut être autorisée (délibérations n° 00-015 du 21 mars 2000 et n° 00-057 du 16 novembre 2000).

 

Il importe en outre de veiller à ce que les atteintes portées à la vie privée des personnes concernées soient strictement nécessaires à la réalisation des objectifs poursuivis et assorties de garanties, notamment celles résultant de la législation relative à l'informatique et aux libertés.

 

C'est au regard de l'ensemble de ces éléments que le juge apprécie la constitutionnalité d'un traitement automatisé.

 

La décision du Conseil constitutionnel n°2003-467 DC du 13 mars 2003 relative à la loi pour la sécurité intérieure, qui a créé des traitements automatisés de données à caractère personnel recueillies par les services de police ou de gendarmerie dans le cadre de leurs missions, est à cet égard éclairante. C'est après avoir relevé « que l'article 21 place le traitement des information nominatives sous le contrôle du procureur de la République (…) ; qu'il définit strictement les personnes, autres que les magistrats judiciaires, habilitées, en raison de leurs attributions de police judiciaire, à utiliser les traitements en cause (…) ; que l'article 22 fixe les conditions et modalités selon lesquelles les données nominatives contenues dans les fichiers intéressant en particulier la sécurité publique peuvent être communiquées aux personnes intéressées (…) ; qu'il ressort des débats parlementaires que la loi du 6 janvier 1978, que le législateur n'a pas entendu écarter, s'appliquera aux traitements en cause », que le Conseil constitutionnel juge que « l'ensemble de ces garanties est de nature à assurer, entre le respect de la vie privée et la sauvegarde de l'ordre public, une conciliation qui n'est pas manifestement déséquilibrée ».

 

Régime des traitements automatisés

 

Domaine de la loi et du règlement

 

L'article 15 de la loi du 6 janvier 1978, dans sa version antérieure à la loi du 6 août 2004, prévoyait « qu'hormis les cas où ils doivent être autorisées par la loi, les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, d'un établissement public, d'une collectivité territoriale ou d'une personne morale de droit privé gérant un service public sont décidés par un acte réglementaire pris après avis motivé de la CNIL ». La loi du 6 janvier 1978 modifiée par celle du 6 août 2004, qui entend régir de façon exhaustive la création des traitements automatisés, ne prévoit plus cette intervention du législateur.

 

Règles de procédure

 

La procédure de création d'un traitement automatisé de données à caractère personnel est définie par la loi du 6 janvier 1978 : la mise en œuvre d'un tel traitement est subordonnée, selon le cas, à une procédure préalable de déclaration ou à une procédure d'autorisation. Sont toutefois exonérés de ces obligations les registres publics informatisés établis par les lois et règlements, comme les registres du cadastre ou des hypothèques.

 

Le Conseil d'Etat a jugé qu'une mesure qui étend de façon substantielle la portée d'un traitement automatisé existant s'apparente à une décision de création d'un tel traitement (CE, 15 décembre 2000, Patel et autres). Une telle mesure doit donc être prise selon les formes prévues par la loi du 6 janvier 1978.

 

1°) Déclaration préalable

 

La procédure de déclaration préalable auprès de la CNIL est la procédure de droit commun. Elle s'applique aux traitements automatisés autres que ceux qui sont soumis, en raison des risques qu'ils comportent pour les libertés, à un régime d'autorisation. La déclaration doit comporter l'engagement que le traitement satisfait aux exigences de la loi. Elle peut être adressée à la CNIL par voie électronique.

 

La CNIL délivre sans délai un récépissé. Elle ne peut refuser cette délivrance dès lors que le dossier de déclaration répond aux exigences de la loi (CE, Sect., 6 janvier 1997, Caisse d'épargne Rhône-Alpes-Lyon).

 

Le responsable peut mettre en œuvre le traitement dès qu'il a reçu le récépissé. La création du traitement ne nécessite donc l'intervention d'aucune décision réglementaire. Le défaut de déclaration est passible des sanctions prévues par l'article 226-16 du nouveau code pénal.

 

Les traitements relevant d'un même organisme et ayant des finalités identiques ou liées entre elles peuvent faire l'objet d'une déclaration unique.

 

La loi du 6 janvier 1978 prévoit par ailleurs qu'une déclaration simplifiée est établie par la CNIL pour les traitements de données à caractère personnel « dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés ». Certains de ces traitements peuvent même, compte tenu de leurs finalités, de leurs destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, être dispensés de toute déclaration.

 

2°) Autorisation préalable

 

Certains traitements sont soumis, en raison des risques qu'ils comportent pour les libertés, à un régime d'autorisation préalable.

 

a) Traitements qui ne peuvent être mis en œuvre qu'après autorisation de la CNIL

 

 L'article 25 de la loi du 6 janvier 1978 dresse la liste des traitements qui, du fait de leur finalité ou de la nature des données concernées, ne peuvent être mis en œuvre qu'après autorisation de la CNIL.

 

Il s'agit principalement :

 

- des traitements, justifiés par un intérêt public, de données dites « sensibles » mentionnées à l'article 8 de la loi du 6 janvier 1978 (origines raciales ou ethniques ; opinions politiques, philosophiques ou religieuses ; appartenance syndicale ; données relatives à la santé ou à la vie sexuelle des personnes) ;

- des traitements de données génétiques, à l'exception de ceux mis en œuvre par des personnels de santé et qui répondent à des fins médicales ;

 

- des traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes ;

 

- des traitements portant sur des données parmi lesquelles figure le numéro d'identification des personnes au répertoire national d'identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire ;

 

- des traitements de données portant sur des infractions, condamnations ou mesures de sûreté, à l'exception de ceux mis en œuvre par les auxiliaires de justice ;

 

- des traitements de données comportant des appréciations sur les difficultés sociales des personnes ou qui ont pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat, dès lors qu'elles n'en sont exclues par aucune disposition législative ou réglementaire ;

 

- ou des traitements qui ont pour objet de procéder à l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents.

 

Toutefois, ceux de ces traitements qui sont mentionnés aux articles 26 et 27 de la loi du 6 janvier 1978 sont régis par les dispositions de ces articles (cf. b) ci-dessous).

 

La CNIL se prononce dans un délai de deux mois, renouvelable une fois, à compter de la réception de la demande. Lorsque la commission ne s'est pas prononcée dans ce délai, la demande d'autorisation est réputée rejetée. L'autorisation délivrée par la CNIL ou le refus d'autorisation sont des actes administratifs, dont le contentieux éventuel relève du Conseil d'État.

 

Le traitement automatisé peut être mis en œuvre dès que l'autorisation a été délivrée par la CNIL. L'intervention d'un acte réglementaire n'est pas nécessaire.

 

b) traitements qui doivent être autorisés par acte réglementaire, pris après avis motivé et publié de la CNIL

 

Les articles 26 et 27 de la loi du 6 janvier 1978 prévoient, quant à eux, les cas dans lesquels les traitements doivent être autorisés par un acte réglementaire, pris après avis motivé et publié de la CNIL.

 

- L'article 26 prévoit que doivent être autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la CNIL, les traitements de données à caractère personnel mis en œuvre pour le compte de l'État qui :

 

*intéressent la sûreté de l'État, la défense ou la sécurité publique ;

*ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.

 

Ceux de ces traitements qui portent sur les données « sensibles » mentionnées à l'article 8 de la loi du 6 janvier 1978 ne peuvent être autorisés que par décret en Conseil d'État pris après avis motivé et publié de la CNIL.

 

Dans les deux cas, l'avis de la CNIL est rendu dans un délai de deux mois, renouvelable une fois, à compter de la réception de la demande. L'avis qui n'est pas rendu à l'expiration de ce délai est réputé favorable. L'avis de la CNIL est publié avec l'acte réglementaire autorisant le traitement.

 

La loi du 6 janvier 1978 prévoit qu'un décret en Conseil d'État peut dispenser de publication l'acte réglementaire autorisant le traitement. Le sens de l'avis émis par la CNIL est alors publié en même temps que le décret autorisant la dispense de publication de l'acte.

 

- L'article 27 prévoit, quant à lui, que doivent être autorisés par décret en Conseil d'État, pris après avis motivé et publié de la CNIL :

* les traitements de données à caractère personnel mis en œuvre pour le compte de l'État, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;

* et les traitements de données à caractère personnel mis en œuvre pour le compte de l'État qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes.

 

Certains de ces traitements, énumérés à l'article 27, peuvent toutefois être autorisés par arrêté, pris après avis motivé et publié de la CNIL ou, si le traitement est mis en œuvre pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public, par décision de l'organe délibérant chargé de leur organisation, pris après avis motivé et publié de la CNIL. C'est notamment le cas des traitements relatifs au recensement de la population.

 

L'avis de la CNIL est rendu dans un délai de deux mois, renouvelable une fois, à compter de la réception de la demande. L'avis qui n'est pas rendu à l'expiration de ce délai est réputé favorable.

 

Bien que l'article 27 de la loi du 6 janvier 1978 ne le précise pas, l'avis de la CNIL doit être publié avec l'acte réglementaire autorisant le traitement.

 

Dans le régime issu de la loi du 6 janvier 1978, préalablement à sa modification par la loi du 6 août 2004, le pouvoir réglementaire ne pouvait passer outre à un avis défavorable de la CNIL que par décret pris sur avis conforme du Conseil d'État. Par ailleurs, sauf à recourir au décret pris sur avis conforme du Conseil d'État, il était tenu de prendre en compte les conditions ou réserves dont étaient assortis les avis favorables de la CNIL (CE, 27 juillet 2001, Titran).

 

Le pouvoir réglementaire peut désormais passer outre à l'avis défavorable de la CNIL, selon le cas, par arrêté ministériel ou par décret en Conseil d'État. L'avis de la CNIL doit toutefois être publié en même temps que l'acte réglementaire autorisant le traitement. Et il appartient, le cas échéant, au Conseil d'État statuant au contentieux de s'assurer de la légalité de cet acte réglementaire.

 

3°) Contenu des déclarations, demandes d'autorisation et demandes d'avis adressées à la CNIL

 

Afin de faciliter le contrôle de la CNIL, l'article 30 de la loi du 6 janvier 1978 modifiée fixe la liste des informations que doivent contenir les déclarations, demandes d'autorisation et demandes d'avis qui lui sont adressées. Celles-ci doivent préciser :

- l'identité et l'adresse du responsable du traitement ;

- la ou les finalités du traitement ;

- les éventuelles interconnexions ;

- la nature des données traitées, leur origine et les catégories de personnes concernées par le traitement ;

- les destinataires habilités à recevoir communication des données ;

- le ou les services chargés de mettre en œuvre le traitement et les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

- la personne ou le service auprès duquel s'exerce le droit d'accès ;

- les dispositions prises pour assurer la sécurité du traitement ;

- le cas échéant, enfin, les transferts envisagés à destination d'un Etat non-membre de la Communauté européenne.

 

Règles de fond

 

1°) Finalité du traitement automatisé

 

La ou les finalités du traitement doivent être déterminées, explicites et légitimes. Les données ne pourront être traitées ultérieurement de manière incompatible avec ces finalités.

 

Par une délibération n°99-024 du 8 avril 1999, la CNIL a ainsi rappelé aux maires qu'ils ne peuvent pas faire usage des informations portées sur les registres d'état civil à des fins de communication personnalisée, notamment à l'occasion de naissances, mariages et décès.

 

2°) Collecte et traitement des données

 

- Le principe est qu'un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée. Toutefois, l'article 7 de la loi du 6 janvier 1978 prévoit qu'il peut notamment être dérogé à ce principe lorsque le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ou à l'exécution d'une mission de service public dont le responsable ou le destinataire du traitement est investi.

 

Sauf si le traitement intéresse la sûreté de l'État, la défense, la sécurité publique, a pour objet l'exécution de condamnations pénales ou de mesures de sûreté ou a pour objet la recherche, la constatation ou la poursuite d'infractions pénales, la personne concernée doit être informée, conformément à l'article 32 de la loi du 6 janvier 1978, de l'existence et de la finalité du traitement, des services destinataires des données et de l'existence d'un droit d'accès et de rectification.

 

- Un traitement automatisé ne peut par ailleurs porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

 

*les données doivent être collectées et traitées de manière loyale et licite ;

 

*elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ;

 

*elles doivent être exactes, complètes et, si nécessaire, mises à jour.

 

Cette dernière condition imposait, par exemple, de prévoir que les décisions de classement sans suite, non-lieu, relaxe, acquittement ou réhabilitation prises par les autorités judiciaires seraient transmises au gestionnaire du système de traitement des infractions constatées (STIC) - fichier national qui enregistre les informations recueillies par les fonctionnaires de police sur les personnes mises en cause dans des crimes ou délits - afin que les données du fichier puissent être mises à jour voire effacées.

 

- Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et empêcher notamment que des tiers non autorisés y aient accès.

 

Il importe donc de définir précisément les personnes ou catégories de personnes autorisées à enregistrer, modifier ou traiter les données et, pour les traitements les plus sensibles, de prévoir des mesures de sécurité appropriées (habilitation individuelle, délivrance d'un mot de passe personnel, mémorisation des consultations…), voire le contrôle de l'autorité judiciaire.

 

3°) Nature des données

 

Les données ou catégories de données enregistrées dans un traitement automatisé doivent être précisément définies.

 

La loi du 6 janvier 1978 interdit ou réglemente l'enregistrement de certaines d'entre elles.

 

- Elle prévoit des garanties particulières pour le traitement des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté. Seules peuvent y procéder les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales. Il s'agit notamment du casier judiciaire pour l'administration de la justice et du « casier du contribuable » pour l'administration fiscale.

 

-L'article 8 de la loi interdit par ailleurs de collecter ou de traiter, sauf consentement exprès des intéressés, des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes ainsi que les données relatives à la santé ou à la vie sexuelle de celles-ci.

 

 

Le Conseil d'Etat a jugé que les données personnelles collectées par l'INSEE à partir des listes d'émargement de scrutins électoraux et relatives à la participation électorale ou aux abstentions constatées lors de ces scrutins, ne peuvent être regardées comme de nature à faire apparaître, même indirectement, les opinions politiques ou philosophiques des électeurs (CE, 10 mars 2004, Colman).

 

Il a par ailleurs estimé, à propos du fichier des bénéficiaires des aides réservées aux rapatriés d'Afrique du Nord, qui faisait apparaître indirectement les opinions religieuses des personnes intéressées, « que si, lorsqu'elles demandent le bénéfice d'une de ces aides, ces personnes sont informées de l'incorporation dans un fichier des données fournies, cette circonstance ne saurait tenir lieu de l'accord exprès » prévu par la loi du 6 janvier 1978 (CE, Sect., 5 juin 1987, Kaberseli).

 

Le même article 8 prévoit qu'il peut être dérogé à l'interdiction de collecter et traiter des données « sensibles » dans un certain nombre de cas limitativement énumérés, notamment lorsque le traitement est nécessaire :

* à la sauvegarde de la vie de la personne concernée ou d'un tiers ;

* à la recherche dans le domaine de la santé ;

* aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé, sous la réserve que le traitement soit mis en œuvre par un membre d'une profession de santé ou une personne soumise à l'obligation de secret professionnel ;

 

*ou à la constatation, l'exercice ou la défense d'un droit en justice.

 

Il peut également être dérogé à ce principe pour des motifs d'intérêt public.

 

La CNIL a ainsi estimé, dans sa délibération n°82-205 du 7 décembre 1982, que la direction centrale des renseignements généraux pouvait collecter des informations sur le « type racial » d'individus, dès lors que ces informations constituaient des éléments de signalement des personnes. De même, les services des renseignements généraux sont autorisés à collecter, conserver et traiter des informations faisant apparaître les activités politiques, philosophiques, religieuses ou syndicales de certaines personnes, ces informations permettant au gouvernement ou à ses représentants d'apprécier la situation politique, économique ou sociale du pays ou de prévoir son évolution (CE, 28 juillet 1995, Confédération générale du travail).

 

Il faut toutefois que le champ de la dérogation soit limité à ce qui est strictement nécessaire à la réalisation des objectifs d'intérêt public poursuivis.

 

Dans sa délibération n°00-064 du 19 décembre 2000 relative au système de traitement des infractions constatées (STIC), la CNIL a ainsi demandé que les données à caractère personnel « sensibles » ne puissent être collectées et traitées que si elles résultent de la nature ou des circonstances de l'infraction (la pédophilie pour une infraction pédophile, les opinions politiques ou religieuses pour les infractions terroristes, etc.).

 

4°) Destinataires des données

 

Il importe, le cas échéant, de définir précisément et limitativement les destinataires ou catégories de destinataires autorisés à recevoir communication des données enregistrées dans un traitement. La communication, intégrale ou restreinte, des données du traitement à ces personnes doit être justifiée au regard notamment de leur domaine de compétence et de leurs missions.

 

5°) Conservation des données

 

La durée de conservation des données ne doit pas excéder la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

 

Le projet de décret portant création du système de traitement des infractions constatées (STIC) prévoyait que les données concernant les personnes majeures mises en cause seraient, en principe, conservées 20 ans. Toujours dans sa délibération n°00-064 du 19 décembre 2000, la CNIL a estimé que, pour certaines infractions comme le vol simple, cette durée de conservation n'était pas justifiée par la finalité de recherche et d'identification criminelle et a donc demandé qu'elle soit ramenée à 5 ans.

 

6°) Droit d'accès et de rectification

 

Il importe de préciser auprès de quel service s'exerce le droit d'accès et de rectification prévu aux articles 39 et 40 de la loi du 6 janvier 1978.

 

Lorsque le traitement intéresse la sûreté de l'État, la défense ou la sécurité publique, le droit d'accès s'exerce auprès de la CNIL, conformément aux dispositions de l'article 41 de cette loi.

 

Rédaction

 

Le contenu de l'acte autorisant la création d'un traitement automatisé de données à caractère personnel est défini à l'article 29 de la loi du 6 janvier 1978.

 

Un tel acte réglementaire est, en règle générale, organisé de la façon suivante (exemples inspirés du décret n°99-1090 du 21 décembre 1999 créant le traitement automatisé relatif au pacte civil de solidarité).

  

- l'article 1er identifie le ou les services autorisés à mettre en œuvre le traitement, définit l'objet de ce traitement et en précise, éventuellement, la dénomination

 

Exemple :

 Est autorisée la mise en œuvre, par les greffes des tribunaux d'instance et le greffe du tribunal de grande instance de Paris ainsi que par les agents diplomatiques et consulaires français, d'un traitement automatisé des registres sur lesquels sont inscrites les mentions relatives à la déclaration, à la modification et à la dissolution du pacte civil de solidarité 

 

 

- l'article suivant précise la ou les finalités de ce traitement

  

Exemple :

 Le traitement automatisé a pour finalité d'assurer :

1° la gestion de l'enregistrement et de la conservation des informations relatives à la déclaration, à la modification et à la dissolution du pacte civil de solidarité ;

2° l'élaboration de statistiques. »

  

 

- un article définit les catégories d'informations enregistrées dans le traitement

 

Exemple : 

Les catégories de données enregistrées sont les suivantes :

1° nom et prénom, date et lieu de naissance des deux personnes liées par un pacte civil de solidarité ;

2° date et lieu d'inscription conférant date certaine au pacte civil de solidarité ;

3° numéro d'enregistrement de l'inscription. 

 

 

- un article définit les personnes habilitées à enregistrer, modifier ou traiter les données

 

Exemple :  

Sont seuls habilités à enregistrer, conserver, modifier ou traiter les données incluses dans le traitement automatisé, dans les limites de leurs missions et de leurs compétence territoriale, les fonctionnaires des greffes des tribunaux d'instance et du greffe du tribunal de grande instance de Paris ainsi que les agents diplomatiques et consulaires français.

 

 

- un article définit les personnes pouvant obtenir communication de tout ou partie de ces données

 

Exemple :

Peuvent obtenir communication, à leur demande, des données du traitement :

1° les personnes signataires du pacte civil de solidarité ;

2° l'autorité judiciaire pour l'exercice du droit d'action du ministère public et pour les besoins des procédures judiciaires ;

3° Les notaires pour les besoins des règlements successoraux ;

4° L'administration fiscale pour l'exercice du droit de communication prévu par l'article L. 83 du livre des procédures fiscales.

 

 

- un article précise le ou les services auprès desquels s'exercent le droit d'accès et de rectification

 

Exemple :

Le droit d'accès et de rectification prévu aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exerce auprès du chef de greffe du tribunal d'instance dans le ressort duquel les personnes ayant conclu un pacte civil de solidarité ont fixé initialement leur résidence commune.

 

 

- un article définit la durée de conservation des données

 

Exemple :

Les données sont conservées pendant une durée de trente ans à compter de la date à laquelle prend fin le pacte civil de solidarité par lequel est lié l'intéressé.

 

- enfin, des articles prévoient, le cas échéant, que l'interconnexion du fichier avec d'autres fichiers est interdite, que le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au traitement, qu'il est dérogé au droit d'information en application du V de l'article 32, etc.

 

Il n'est pas nécessaire de rappeler que le traitement est mis en œuvre dans les conditions fixées par la loi du 6 janvier 1978, une telle disposition allant de soi.

 

Textes

 

Textes applicables

 

Convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (convention n°108).

 

Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données.

 

Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée notamment par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

 

Décret n° 2005-1309 du 20 octobre 2005, modifié par le décret n° 2007*451 du 25 mars 2007.

 

 

Exemples de textes instaurant des traitements automatisés

 

Décret n°91-1052 du 14 octobre 1991 relatif au fichier informatisé du terrorisme mis en œuvre par les services des renseignements généraux du ministère de l'intérieur.

 

Décret n°99-1090 du 21 décembre 1999 relatif aux conditions dans lesquelles sont traités et conservées les informations relatives à la formation, la modification et la dissolution du pacte civil de solidarité et autorisant la création à cet effet d'un traitement automatisé des registres.

 

Décret n°2001-583 du 5 juillet 2001 portant création du système de traitement des infractions constatées.

 

Décret n°2002-1478 du 19 décembre 2002 portant création de fichiers automatisés d'informations nominatives pour assurer, d'une part, l'instruction des dossiers d'indemnisation présentés en application du décret n°99-778 du 10 septembre 1999 et, d'autre part, le paiement des indemnités.

 

A propos du site  

  Plan du site  

  Boîtes aux lettres  

  Établir un lien  

  Mise à jour des textes  

  © 2002 Légifrance